ONGEDOLVEN GOUD: VAN DATA NAAR INFO CONCEPT-ADVIES

ONGEDOLVEN GOUD: VAN DATA NAAR INFO CONCEPT-ADVIES KNELPUNTEN, AANBEVELINGEN, BEPERKINGEN GEBRUIK VAN PRIVACY-BY-DESIGN 7 april 2014 Status: Definitief Versie:Finaal Lange Kerkdam 27 KvK Haaglanden dossierno. 27249622 NL 2242 BN Wassenaar BTW no. NL 0625 24 689 B.01 Tel.: 062 958 2789 Bankrekeningno. 62.54.66.608 Fax.: 070 517 8936 ABN AMRO Wassenaar Email: jborking@xs4all.nl

2 1. Inhoudsopgave en Versiegeschiedenis 1.1 Inhoudsopgave 1.2 Versiegeschiedenis 2. Opdracht 3. Aanleiding tot dit advies 4. Management samenvatting 5 Eerste onderzoeksvraag: Welke knelpunten rondom privacy signaleert u in de oplossingsrichtingen die worden beschreven in het concept advies? Het gaat om knelpunten op de middellange termijn, mede in het licht van ontwikkelingen zoals big data en de decentralisatie. 5.1 Oplossingsrichtingen 5.2 Algemene privacy knelpunten op middellange termijn 5.3 Welke knelpunten kunnen bij de patiënt op middellange termijn optreden? 5.4 Knelpunt: Verantwoordelijke 5.5 Knelpunt: zorgverlener / gezondheidszorg 5.6 Knelpunt: Hackers 5.7 Knelpunt: Ontwikkeling Technologie 5.8 Knelpunt: Zorg overdracht naar gemeenten 5.9 Knelpunten in concept redeneerlijn 5.10 Wettelijke knelpunten: EVRM, General Data Protection Regulation, Wbp, WGMO 5.11 Big Data 5.12 Cloud computing 5.13 Antwoord op de eerste onderzoeksvraag 6 Tweede onderzoeksvraag: In hoeverre kunnen deze knelpunten worden opgelost door privacy-by-design? 6.1 Wat is privacy-by-design? 6.2 Privacy-Enhancing Technologies (PETs) 6.3. Door de wet a contrario onderkende privacy bedreigingen 6.4. Basis PbD ontwerp patroon 6.5 Privacy-by-Design vereisten voor het persoonlijk gezondheidsdossier 6.6 TTPs 6.7 Eerste praktijk voorbeeld: De Privacy Incorporated Database (PID) 6.8 Tweede praktijk voorbeeld: Het Victim Tracking and Tracing System 6.9 Privacy beleid geautomatiseerd uitvoeren 6.10 Antwoord op de tweede onderzoeksvraag 7. Derde onderzoeksvraag: Welke concrete aanbevelingen volgen uit de geschetste oplossingsrichtingen? 7.1 Eerste aanbeveling: richt een Privacy-by Design expertisecentrum op 7.2 Tweede aanbeveling: Voer de druk op vanuit de wetgeving 7.3 Derde aanbeveling: Voer vooraf een multi-actor analyse uit 7.4 Vierde aanbeveling: Voer een uitvoerige privacy impact analyse (PIA) uit 7.5 Vijfde aanbeveling: Maak een functioneel PbD Ontwerp; Test het ontwerp in een pilot 7.6 Zesde aanbeveling: Zet trusted third parties (TTPs) in 7.7 Zevende aanbeveling: Voorschrijven van Risicomanagement en PbD bij Gemeenten 7.8 Achtste aanbeveling: Zorg voor sluitende anonimiseringstechnieken bij Big Data 7.9 Negende aanbeveling: Neem Privacy by Design op in standaarden 7.10. Tiende aanbeveling: Controleer bij het gebruik van Clouds op wettelijk regime 7.11 Antwoord op de derde onderzoeksvraag

3 8. Vierde onderzoeksvraag: Wat zijn de beperkingen van de geschetste oplossingen? 8.1 Adoptieproblemen 8.2 Antwoord op de vierde onderzoeksvraag 9. Referenties 1.2 Versiegeschiedenis Versie Versiedatum Opgesteld Samenvatting / door aanpassingen 1.0 06-02-2014 J.Borking 1 e concept verzonden 06-02-2014 J.Borking Overleg 13-02-2014 met T.Hooghiemstra, M. ten Have, M. van Gemert input docs 1.1 04-03-2014 J.Borking Verwerken van commentaar Theo Hooghiemstra, Marcel van Gemert; Toevoegingen over technologie 1.2 10-03-14 J.Borking Toevoegen PbD voor PGD en TTP, uitbreiding aanbevelingen 2.0 13-03-14 J.Borking 2 e concept verzonden Finaal 31-03-14 J.Borking Verwerking van 3.0 commentaar Theo Hooghiemstra 25-03- 2014 4.0 07-04-14 J.Borking Verwerking van commentaar Theo Hooghiemstra 06-04- 2014

4 2. Opdracht Aan Borking Consultancy (Dr. J.J.F.M.Borking, Lange Kerkdam 27, NL 2242 BN Wassenaar, Tel. 06-2958 2789; Fax. 070-517 8936; email: jborking@xs4all.nl) is gevraagd ten behoeve van het adviestraject Ongedolven Goud: van data naar info voor de Raad voor de Volksgezondheid en Zorg te Den Haag de volgende werkzaamheden uit te voeren: A. Het uitvoeren van een studie die de volgende vragen zal beantwoorden: 1. Welke knelpunten rondom privacy signaleert u in de oplossingsrichtingen die worden beschreven in het concept-advies? Het gaat om knelpunten op de middellange termijn, mede in het licht van ontwikkelingen zoals big data en de decentralisatie. 2. In hoeverre kunnen deze knelpunten worden opgelost door privacy-by-design? 3. Welke concrete aanbevelingen volgen uit de geschetste oplossingsrichtingen? 4. Wat zijn de beperkingen van de geschetste oplossingen? De studie dient een samenvatting van 1 A4 te bevatten en dit is het enige onderdeel dat door de voltallige Raad wordt gelezen. Een concept met globale bevindingen dient uiterlijk 3 februari te zijn ontvangen door de RVZ en de definitieve studie dient uiterlijk 1 maart 2014 te zijn ontvangen door de RVZ. B. Het becommentariëren van het conceptadvies in de periode februari-mei. Over de opdracht is met de heer Mr. Drs. T.F.M. Hooghiemstra en mevrouw Dr. M. Ten Have telefonisch en per email overleg gevoerd. De nota: Ongedolven goud, van data naar info, concept redeneerlijn ter vaststelling in de raadsvergadering van 19 december 2013 is door de RVZ aan Borking Consultancy ter hand gesteld en daarna is het concept-advies aan hem voorgelegd. Vervolgens heeft Borking Consultancy op 10 januari 2014 een offerte ten behoeve de bovenstaande werkzaamheden aan RVZ gestuurd, die op 14 januari 2014 door RVZ is geaccepteerd.

5 3. Aanleiding voor dit advies De aanleiding voor dit advies is de vraag van de Raad voor de Volksgezondheid & Zorg om antwoord te geven op een viertal vragen te weten: 1. Welke knelpunten rondom privacy signaleert u in de oplossingsrichtingen die worden beschreven in het concept-advies? Het gaat om knelpunten op de middellange termijn, mede in het licht van ontwikkelingen zoals big data en de decentralisatie. 2. In hoeverre kunnen deze knelpunten worden opgelost door privacy-by-design? 3. Welke concrete aanbevelingen volgen uit de geschetste oplossingsrichtingen? 4. Wat zijn de beperkingen van de geschetste oplossingen? Deze vragen zijn een gevolg van de concept-redeneerlijn in het rapport Ongedolven goud, van data naar info'. De aanbevelingen zijn enerzijds bestemd voor een informatiestelsel rondom de te verwachten persoonlijk gezondheidsdossiers (PGD s), waarin de patiëntengegevens optimaal worden verwerkt ten behoeve van een betere kwaliteit van zorg, terwijl tegelijkertijd de privacy van de patiënt wordt gewaarborgd en anderzijds voor de overige (bron)systemen in de informatiehuishouding van de gezondheidszorg op micro- meso en macroniveau van zorgaanbieders, zorgverzekeraars, gemeenten en instituten voor beleids- en wetenschappelijk onderzoek. Casuspositie: Grote hoeveelheden data worden verzameld, verwerkt, gedistribueerd en opgeslagen in de zorg. Desondanks worden de patiënt en de burger geconfronteerd met diverse knelpunten doordat hijzelf en diverse zorgprofessionals vaak niet over de informatie en kennis beschikken die zij nodig hebben om een betere gezondheid van patiënten en burgers te realiseren. Dit heeft geleid tot de beleidsvraag voor het concept-advies: Hoe kan het verwerken van data worden geoptimaliseerd ten behoeve van een betere kwaliteit van de zorg? Het belang van de patiënt en de burger en diens gezondheid dient centraal te staan. Het verwerken van data in de zorg raakt immers ook mensen die nog niet ziek zijn, bijvoorbeeld wanneer het gaat om preventie of onderzoek. Onder het verwerken van data verstaan we het verzamelen, opslaan, gebruiken en vernietigen van data. Het concept-advies richt zich tot de actoren die direct of indirect een relatie met de patiënt hebben en belicht het perspectief van actoren die op micro-, meso en macroniveau bijdragen aan een betaalbare en toegankelijke zorg van hoge kwaliteit. Microniveau betreft patiënt en zorgverlener. Mesoniveau betreft organisaties en instellingen, zoals zorgaanbieder, zorgverzekeraar en gemeente. Macroniveau betreft overheid, beleid en wetenschap. Voor een adequate informatievoorziening is de verbinding van micro-, meso- en macroniveau van belang. Het accent wordt gelegd bij de governance van de kennis- en informatiestrategie. Bij het beantwoorden van de beleidsvraag bestrijkt de verwerking van data in de gehele breedte, dus voor preventie, cure en care.

6 4. Management samenvatting 1. Knelpunten Bij de bestudering van de concept-advies zijn een aantal knelpunten op middellange termijn voorzien: 1.Verwacht wordt dat de patiënt toegang en beheer van zijn persoonlijk gezondheidsdossier (PGD) krijgt op basis van vrijwilligheid en met de keuze uit meerdere PGD s. In de praktijk zullen niet alle patiënten / cliënten gebruik kunnen en willen maken van PGD s in aanvulling op overige (bron)systemen in de informatiehuishouding van de gezondheidszorg op micro- meso en macroniveau van zorgaanbieders, zorgverzekeraars, gemeenten en instituten voor beleids- en wetenschappelijk onderzoek. Onder andere door de vergrijzing zullen grotere aantallen gemiddelde (laag opgeleide en bejaarde) patiënten hun PGD niet (meer) willen en/of kunnen controleren en/of beheren. Commerciële (adviserende) diensten zullen het beheer van hen overnemen. Zij zullen de verkregen informatie naast het PGD zelf opslaan en voor data analyses gaan gebruiken. Dit kan tot manipulatie van de patiënt leiden. De visie over de participerende patiënt in het RVZ advies (2013) is te rooskleurig. 2.Bij zorgverleners kan, wanneer patiënten per onderwerp en gegeven mogen bepalen wie in het PGD dossier daar toegang toe krijgt en welke gegevens niet gedeeld mogen worden, twijfel ontstaan over de juistheid en volledigheid van het dossier. Om het risico op medische fouten te verkleinen zullen tests en anamnese worden herhaald, wat de efficiëntie van het PGD zal ondermijnen. Logging van wijzigingen in het PGD is gewenst. 3. Gezien het grote macro-economisch belang van de gezondheidszorg wordt voorzien dat geautomatiseerde aanvallen op de gezondheidsinformatiehuishouding zullen toenemen. Dergelijke aanvallen kunnen door personen met weinig expertise worden uitgevoerd. 4. De ontwikkelingen binnen de gezondheidszorg zullen leiden tot het gebruik van een verscheidenheid aan ICT-technologieën. Bij data volgende-, gegevens koppelende- en informatie ontdekkende en extraherende technologieën spelen persoonsidentiteiten een sleutelrol. Hierbij kunnen er omvangrijke data lekken en privacy inbreuken optreden en kunnen identiteiten van patiënten en hun gegevens op vele (onbekende) plaatsen door commerciële partijen worden opgeslagen met ongewenst gebruik als gevolg. Het gebruik van pseudo-identeiten is noodzakelijk. 5. Bij het meervoudig en secundair (her)gebruik van medische gegevens door vele afnemers en het gebruik van big data zullen aan anonimisering en de-anonimisering zeer hoge eisen moeten worden gesteld, wil identificatie worden voorkomen. Cloud computing vormt een extra risico door de potentiele toegang van de Amerikaanse overheid tot opgeslagen gegevens en het gebruik van opslagtechnieken die ongewild hergebruik van gegevens tot gevolg zou kunnen hebben. 6. De wettelijke vereisten ter bescherming van persoonsgegevens en de boetes bij overtreden zullen aanzienlijk worden verzwaard. 2. Oplossingen door Privacy-by-design De geconstateerde privacy knelpunten kunnen voor een zeer groot deel worden voorkomen door gebruik te maken van Privacy-by Design (PbD) waarvan de kern bestaat uit Privacy-Enhancing Technologies (PETs). Dit zijn technische maatregelen gericht op het beschermen van de privacy van de patiënt en zorgverlener en andere bij de patient-centered care informatiehuishouding betrokkenen. Het basis ontwerp patroon bestaat uit een of meerdere Identity Protectors en het creëren van meerdere (pseudo)-identiteitsdomeinen en pseudo-identiteiten. Deze aanpak wordt toegepast in een privacy-by-design PGD. De medische en financiële gegevensstromen kunnen

7 hier door worden gescheiden. Bovendien houden de patiënt, arts en zorgverlener zeggenschap op de toegang tot het PGD en wie welk gedeelte mag inzien. De toepassing van PbD leidt tot een end-to-end beveiliging, identiteits- en toegangsmanagement en een sterke op de functie gebaseerde authenticatie. Controlemogelijkheden, logging en auditing en terugkoppeling worden voor de patiënten ingebouwd. Gezien de complexiteit is het gebruik van privacy management systemen(pms) noodzakelijk om privacy regels geautomatiseerd afdwingen. Onmisbaar is bij de gegevensuitwisseling de inschakeling van meerdere trusted third parties (TTPs). Encryptie en decryptie zijn hierbij voor alle medische data een sine qua non. Als PbD, zoals hierboven beschreven, wordt toegepast in PGD s en informatiesystemen in de gezondheidsinformatiehuishouding, dan zullen de medische gegevens van patiënten zodanig effectief worden beschermd, dat zij erop kunnen (blijven) vertrouwen dat hun gegevens niet onrechtmatig worden verzameld, verwerkt, opgeslagen en verspreid. 3.Concrete aanbevelingen Teneinde PbD te realiseren is het noodzakelijk vooraf: 1. Een PbD expertise centrum op te richten of deze expertise onder te brengen bij bestaande kennis- of standaardisatieinstituten, zoals Nictiz, ter ondersteuning van het PbD proces; 2. Druk vanuit standaarden en in voorbereiding zijnde - wetgeving uit te oefenen door vast te leggen, dat een privacy risico analyse vooraf dient plaats te vinden en dat PbD by default moet worden toegepast en gebruik gemaakt wordt van de adoptiefactoren. De General Data Protection Regulation van de EU kan bij aanvaarding, vermoedelijk in 2015, voor die druk zorgen; 3. Een multi-actor analyse toe te passen omdat PbD moet voldoen aan een aantal fundamentele functionaliteiten en de stakeholders (veel) specifieke eisen zullen hebben. Het is het wenselijk hen actief bij het besluitvormingsproces te betrekken. Dit zal een breed draagvlak scheppen en de adoptie van de PbD informatiehuishouding vergemakkelijken; 4. Uitvoerige privacy impact analyses (PIA s) te laten uitvoeren om de bedreigingen en risico s die optreden bij de verwerking van medische gegevens in kaart te brengen. Op grond van de resultaten van de PIAs kan bepaald worden welke vormen van PbD gewenst zijn voor de informatiehuishouding; 5. De ontworpen privacy-by-design architectuur in een pilot te testen; 6. Inzetten van TTP s bij PGD s en overige (bron)systemen in de informatiehuishouding van de gezondheidszorg op micro- meso en macroniveau van zorgaanbieders, zorgverzekeraars, gemeenten en instituten voor beleids- en wetenschappelijk onderzoek; 7. Bij de decentralisatie van zorg naar gemeenten van begin af expliciet risicomanagement en Privacy-by-Design voorschrijven en inzetten; 8. Bij het opzetten van big data projecten zeer nauwkeurig de geanonimiserde data sets te onderzoeken op mogelijke direct en indirect identificerende gegevens; 9 PbD op te nemen in standaarden van PGD s en voor overige (bron)systemen in de informatiehuishouding van de gezondheidszorg op micro- meso en macroniveau van zorgaanbieders, zorgverzekeraars, gemeenten en instituten voor beleids- en wetenschappelijk onderzoek. 10. Bij Cloud computing vooraf een PIA uit te voeren, waarbij tevens vastgesteld moet worden of de beveiliging, transparantie en rechtszekerheid voor de gebruikers goed geborgd zijn en welk rechtstelsel geldt. Wanneer het recht van een staat van de Verenigde Staten van toepassing is, geldt een contra-indicatie.

8 4. Beperkingen Voor het realiseren van PbD ontbreken voldoende positieve adoptiefactoren. De wetgeving en de toezichthouder refereren nog niet expliciet aan (preventieve) PbD. Met de invoering van de Europese Privacy Verordening (2015) zal dit veranderen. Een kritische succesfactor is dat ICT systemen en met name IAM (Identity & Access management) systemen robuust moeten zijn en voldoende maturiteit moeten bezitten.

9 5. Eerste onderzoeksvraag: Welke knelpunten rondom privacy signaleert u in de oplossingsrichtingen die worden beschreven in de concept advies? Het gaat om knelpunten op de middellange termijn, mede in het licht van ontwikkelingen zoals big data en de decentralisatie. 5.1 Oplossingsrichtingen De concept redeneerlijn richt qua oplossingsrichtingen zich op: 1. De gedecentraliseerde patient-centered care waarbij patiënt en zijn directe familie centraal staat, hij bij de medisch klinische behandeling en zorg met respect wordt behandeld, rekening wordt gehouden met zijn voorkeuren, behoeften en waarden, zoals zijn privacy en het recht op niet-weten; 2.Het eenmalig registreren van patiënt gegevens aan de bron; 3.Het adequaat en efficiënt verwerken van medische data betreffende patiënt; 4.Het gebruiken van elektronisch patiëntendossiers; 5.Het meervoudig gebruik van door de patiënt en door de zorgverlener in de ruimste zin van het woord, de zorgaanbieder, het wetenschappelijk onderzoek, de zorgverzekeraar en gemeente ten behoeve van de patiënt genereerde medische en zorg gegevens; 6.Een op micro, meso en macro geïntegreerde informatiehuishouding ten behoeve van preventie en de genezing en verzorging van de patiënt op basis van standaardisatie teneinde een flexibele, veilige en betrouwbare informatiehuishouding te bewerkstelligen in plaats van een rigide systeem; 7.De behaalde resultaten onder meer in de vorm van uitkomstindicatoren te gebruiken als terugkoppeling ten behoeve van de kennis en uitvoering in de gezondheidszorg; 8.Het optimaal inzetten van informatie technologie, inclusief internet; 9.Binnen de in het in de oplossingsrichtingen voorziene gezondheidsproces gegenereerde big data gebruiken ten behoeve van de gezondheidsinformatie en het managen van het totale gezondheidsproces. 10. Buiten de oplossingsrichtingen blijft de specifieke positie van de verzekerde versus de verzekeraar. Dit is voor het vaststellen van privacy beschermende maatregelen in de geïntegreerde informatiehuishouding ook niet nodig. Voor de wetgever is wat betreft de privacybescherming het irrelevant of de patiënt verzekerd is 5.2 Algemene privacy knelpunten op middellange termijn Privacy bescherming en het medisch beroepsgeheim vereist dat de zorgvuldige omgang met vertrouwelijke gegevens van patiënten dient centraal te staan. Vanuit de privacy problematiek gaat het om medische gegevens die door de Wbp als bijzondere en gevoelige direct of indirect identificerende persoonsgegevens worden gekwalificeerd. De medische zorg-systemen worden steeds meer en meer verfijnd en voorzien van tal van toepassingen, waar niet alleen medische professionals toegang tot hebben, maar ook de boekhouding, de IT afdeling en het administratief personeel. Uit onderzoek blijkt dat patiënten bezorgd zijn dat hun persoonlijk gezondheidsdossier in de handen van hun werkgevers of overheidsinstanties vallen zonder hun toestemming en kennis en dat de hoeveel informatie die aan zorgverleners en verzekeraars wordt gegeven ongelimiteerd is 1. 1. Rothstein M.A., The Hippocratic Bargain and Health Information Technology, in Journal of Law, Medicine &

10 Ruotsalainen stelt dat het belangrijkste knelpunt is dat de op de huidige beveiliging en toegangscontrole gerichte implementatie modellen niet het vertrouwen en privacy kunnen te garanderen binnen de alles omvattende rond de patiënt gecentreerde gezondheidszorg. Op technisch vlak worden in de huidige informatiesystemen voor de gezondheidszorg beveiligingsoplossingen gebruikt die vooral organisatorisch en reactief zijn en zijn gebaseerd op statische regels. Deze zijn noch context- of content-bewust, en zijn bedoeld om te worden gebruikt in een gecontroleerde omgeving met vooraf gedefinieerde regels. Er zijn daarom nieuwe informatie systeem architecturen nodig om de kwetsbaarheid drastisch te verminderen. 2 Bij gebrek aan voldoende gerichte research naar privacy-by-design architecturen ontstaat er een belangrijk knelpunt voor de ontwikkelingen van een privacy veilig patient-centered care. Het algemene privacy model geeft aan welke informatiestromen er tussen de verschillende actoren kunnen bestaan. Knelpunten kunnen bij de actor zelf ontstaan, door veranderingen in de omgeving en door de in de concept-redeneerlijn geïndiceerde informatiestromen. Figuur 1: algemeen privacy model 3 Ethics, 2010, p.7-13 2 Ruotsalainen P. et al., Framework model and principles for trusted information sharing in User Centered Networked Health Care, IOS press, Amsterdam 2011, p.500 e.v. 3 Bewerking van model van Van Blarkom G.W., Borking J.J., Olk J.G.E., Handbook of Privacy and Privacy-Enhancing Technologies, The Hague, 2003, p.144

11 De veelheid van informatie en communicatiestromen leggen zware eisen op de beveiliging van informatie, de toegangscontrole en de bescherming van de privacy. In het algemeen geldt dat alle informatie zowel in de elektronisch PGD en de databanken van de zorgaanbieders, als bij verzending over gezondheids- en andere netwerken adequaat (zwaar) versleuteld dient te zijn. Wat betreft de versleuteling en beveiliging is het knelpunt dat het niveau van de beveiliging en bescherming naar de dan (>5 jaar) geldende stand van de techniek niet meer toereikend zal zijn. Deze ontwikkeling vereist voortdurende aanpassing. Op middellange termijn zal de gezondheidszorg (in toenemende mate) internationaal (EU, mondiaal) georganiseerd zijn en zullen internationale standaarden de privacy veilige architectuur van het medische zorg systemen bepalen. 5.3 Welke knelpunten kunnen bij de patiënt op middellange termijn optreden? De gemiddelde digitale vaardigheden van de huidige 60-ers ( idem: lager opgeleiden, allochtonen en inactieven) met betrekking tot ICT toepassingen is beperkt. Met Internet en email kan worden om gegaan, maar met veel meer dan dat ook niet. 4 Op middellange termijn (5-10 jaar) zal er een sterke toename (verdubbeling) van het aantal bejaarde patiënten plaatsvinden met beperkte aanpassing aan en begrip van de ICT toepassingen. (De human interface problemen kunnen met gebruik van de ergonomisch doordachte symbolen ( icons ) problemen verminderen). In de praktijk zal blijken dat vele patiënten niet of niet meer in staat zullen zijn hun gekwalificeerde toestemming te geven. Op termijn kan of wil de patiënt het beheren van en de controle op de inhoud van zijn elektronisch persoonlijk gezondheidsdossier niet/ niet meer uitoefenen. Vele patiënten missen de kennis om dit te doen. De inzet van persoonsgebonden monitoringsystemen in zogenoemde slimme huizen om de veiligheid van hulpbehoevende bejaarden te kunnen garanderen, zal sterk toenemen. 5 Derden kunnen ten behoeve van de patiënt dan hun (adviserende) diensten daarvoor commercieel aanbieden en zullen de verkregen informatie niet alleen in het PGD op laten slaan, maar ook in hun eigen systemen. Deze informatie kan vervolgens gebruik worden voor data analyses die kunnen leiden tot (ongewenste) aanbieding van andere (al dan niet) gerelateerde medische producten en diensten. Bovendien vergroot dit de ongeautoriseerde verspreiding van medische gegevens. Er vanuit gaande dat de patiënt die het wil en kan in het patient-centered care systeem zijn eigen medische informatie beheert, kunnen de volgende casusposities voorkomen: 1. De patiënt verandert de door hem kenbaar gemaakte/vastgelegde beperkingen aan het gebruik, de verwerking, bekendmaking en opslag van zijn medische informatie, die hij al dan niet met anderen heeft gedeeld; Dit kan leiden tot authenticatieproblemen en weerstand bij de zorgverleners. 2. De patiënt wenst meer transparantie, terugkoppeling c.q. grotere verificatiemogelijkheid met betrekking tot de verspreiding en het gebruik van zijn persoonlijke informatie; 3. De patiënt wil zijn gegevens meenemen naar een zorgverlener die niet is aangesloten op het informatie systeem dat de persoonlijke gezondheidsdossiers bewerkt en opslaat; 4 Ingen van E., De Haan J. & M.Duimel, Achterstand en Afstand, SCB Den Haag 2007 5 Advies van het Europees Economisch en Sociaal Comite over Matschappelijke betrokkenheid van ouderen en hun participatie in de samenleving (initiatiefadvies) (2013/C11/04)

12 4. De patiënt kan ten onrechte zijn toestemming onthouden worden,; hij kan via internet de nodige (soms onjuiste) informatie gaan verzamelen, medisch consult vragen en gaan shoppen bij zorginstellingen en zorgverleners. Voor een optimistische visie zie: het RVZ-advies De participerende patiënt : http://www.rvz.net/publicaties/bekijk/de-participerende-patientde gestelde voorwaarden (in 2013) dienen eerst vervuld te zijn, voordat er over de volle breedte van de samenleving sprake kan zijn van een adequaat participerende en geïnformeerde patiënt. Tot nu toe zijn de inspanningen van de betrokken partijen niet voldoende om het beoogde doel te realiseren. 5.4 Knelpunt: Verantwoordelijke De verantwoordelijke en de participerende actoren kunnen om kostentechnische en commerciële redenen besluiten op middellange termijn het informatiesysteem c.q. de informatiehuishouding dat de persoonlijke gezondheidsdossiers bewerkt en opslaat en de daarmee communicerende systemen niet aan te passen aan de stand van de techniek en de verhoogde privacy- en beveiligingseisen, die mede opgelegd kunnen worden door de toezichthouder. Budgettair zal hier rekening gehouden moeten worden. Het is denkbaar dat commercialisering van de informatiehuishouding tot ongewenste neven-marketing activiteiten leidt, zoals het aanbieden van gerichte banners. De verantwoordelijke en/of de bewerker (inclusief de Cloud) bevindt zich buiten de EU, waardoor gegevens niet geëxporteerd mogen worden 5.5 Knelpunt: zorgverlener / gezondheidszorg Zorgaanbieders dienen gebruik te maken van een gestandaardiseerde diagnose rapportage. De correctheid en volledigheid van gegevens is onvoldoende gegarandeerd. 6 Dit gebrek wordt een knelpunt op middellange termijn. Mogelijk treedt er na verloop van tijd weerstand op bij de zorgprofessionals. Rothstein wijst er op, dat als patiënten per onderwerp en gegeven mogen beoordelen wie daar toegang toe krijgt en welke gegevens niet gedeeld mogen worden, het PGD voor de clinici minder waardevol zou kunnen worden en het risico op medische fouten zou kunnen toenemen. Clinici zouden de juistheid en volledigheid van de bestaande informatie in het PGD minder gaan vertrouwen en zouden geneigd zijn om tests en anamnese te herhalen, waardoor de efficiëntie van persoonlijk gezondheidsdossiers zou worden ondermijnd. 7 Logging van wijzigingen in het dossier kan dit voorkomen. 5.6 Knelpunt: Hackers De trend is dat geautomatiseerde aanvallen op gezondheidsinformatiesysteem toenemen. Technieken om die aanvallen uit te voeren worden over het Internet verspreid, waardoor personen met aanmerkelijk minder expertise (de zgn. script kiddies), 8 maar in het bezit van 6 Medisch Contact 14 mei 2009: M. Katzenbauer, Te vroeg voor landelijk EPD 7 Rotnstein M.A., The Hippocratic Bargain and Health Information technology, journal of law, medicine & ethics, spring 2010, p.12 8 Hieronder wordt verstaan een onervaren kwaadwillige hacker, die programma s gebruikt die door andere hackers zijn ontwikkeld om informatiesystemen aan te vallen en websites te bekladden; http://www.honeynet.org/papers/enemy/

13 generieke PC hardware een aanval kunnen uitvoeren. Het gaat om een automatische methode die in een netwerk of informatiesysteem inbreekt op het niveau van point-and-click. Deze ontwikkeling houdt in, dat voor een geautomatiseerde aanval weinig expertise is vereist van systemen, er weinig tijd nodig voor is en er ook geen geavanceerde computers gebruikt hoeven te worden voor een dergelijke scripted (geprogrammeerde) aanval. Georganiseerde (criminele) aanvallen op de gezondheidsinfrastructuur voor eigen gewin zullen een knelpunt op middellange termijn vormen. Deze ontwikkeling werd bevestigd door de Europese Commissie tijdens de vergadering over EU Cybersecurity Strategy in Brussel op 28 februari 2014. Cyber aanvallen zijn de afgelopen jaren dramatisch toe genomen. Cyber criminelen zijn steeds moeilijker te traceren. Lybaert van Belgacom deelde mede dat er inmiddels 800.000 aanvallen per dag op Duitse Telekom plaatsvinden. Standaardisatie van systemen waar niet in state of the art beveiliging is voorzien, kan het hackers probleem verergeren. 5.7 Knelpunt: Ontwikkeling Technologie Bij het inschatten van knelpunten in de gezondheidszorg is de ontwikkeling van de technologie mede bepalend. Hieronder volgt een model over de verwachte ontwikkeling van het PGD. Figuur 2 Ontwikkeling persoonlijk gezondheidsdossier in Web-Based Applications in A. Lazakidou, Healthcare and Biomedicine, New York, 2010 Op middellange termijn dient rekening gehouden te worden met de ontwikkeling van telegeneeskunde, patient self service kiosks, de inzet van medische Apps via mobiel (smart)telefoons (smart watches) en internet (cloud) connecties, ambient intelligente omgevingen met (geïmplanteerde) sensoren en RFID chips (waarvan de informatie niet in het PGD terecht komt maar bij de commerciële aanbieders), het gebruik en de verspreiding van DNA profielen voor persoonsgericht medicijngebruik en het inzetten van robots en medische software agents. Het PGD dient met deze ontwikkelingen rekening te houden. Nu al geldt dat bij opslag van gegevens in een Cloud het risico van ongewenste en onbevoegde toegang (al dan niet door overheden, bijvoorbeeld onder de U.S. Patriot Act), datalekken en

14 misbruik van data toenemen. 9 De opdracht voor het bouwen, beheer en onderhoud van de gezondheid/zorg verlenende infrastructuur door een Amerikaans moeder of zusterbedrijf maakt dit mogelijk en moet afgeraden worden. De Europese Commissie deelt deze zorgen en heeft een Europese Cloud strategie in 2012 voorgesteld. 10 De ontwikkelingen in de gezondheidszorg zullen leiden tot een verscheidenheid aan ICTtechnologieën, waarvan het gebruik tot knelpunten kan leiden. Gilbert signaleert drie verschillende lagen van technologieën, die steeds meer convergeren en elkaar versterken. Bij deze technologieën spelen persoonsidentiteiten een sleutelrol. De Royal Academy of Engineers onderscheidt als eerste laag de Connection technologies, dat zijn technologieën die data volgen, bijvoorbeeld RFIDs en NFC. Als tweede laag gaat het om de Disconnection technologies, dat zijn gegevens koppelende technologieën, zoals de SIM kaart in mobiele telefoons en biometrische technologie, die de toegang tot data controleren. De derde laag zijn de Processing technologies, dat zijn technologieën die informatie ontdekken en extraheren, zoals data mining, data warehousing, big data en tijd-ruimte Googleing die mogelijk zijn door de goedkope massale opslag van gegevens en het Wereld Wijde Web. Gilbert 11 ziet drie mogelijke scenario s voor de nabije toekomst (2020): 1. Big Brother, waarin met name de gegevens ontdekkende technologieën domineren, zoals data mining en data warehousing. In dit scenario leidt de dominante technologie tot gigantische databanken met een zeer sterke speurkracht. Alles is voor eeuwig vastgelegd en digitale patroonherkenning in grote hoeveelheden data kan zeer snel geschieden. Dergelijke databanken worden beheerd, hetzij door de overheid (Big Brother), hetzij door commerciële organisaties. Omdat de kosten van data processing mede door gebruik van clouds scherp zullen dalen, zullen ook individuen in staat zijn om voldoende opslag- en speurcapaciteit voor henzelf en ten nadele van anderen in te zetten. De privacy is in dit scenario verloren. 2. Bij het tweede scenario Big mess domineren de technologieën die data volgen, zoals RFIDs en NFC. De chip in het paspoort, in de OV-chipkaart, in kleding en lichaam maken volledig toezicht mogelijk. Vooral als deze technologieën gecombineerd worden met nietrobuuste technologieën die data aan elkaar koppelen (smart cards, SIMs in mobiele telefoons, biometrische technologieën zoals spreker identificatie) zullen er voortdurend op grote schaal privacy incidenten plaatsvinden. Persoonsgegevens zullen tegen de wens van betrokkenen door data lekken publiek gemaakt worden en er zal op een misdadige manier van toezicht en persoonsgegevens gebruik gemaakt worden. 3. Het derde scenario is Little sisters. In dit scenario domineren de gegevens koppelende technologieën. Persoonsgegevens zullen routinematig versleuteld worden en (digitale)identiteiten zullen worden gefragmenteerd. De sleutels tot deze gefragmenteerde identiteiten zullen beheerd worden door de Little sisters. Dat zijn nu de ISPs en creditcard maatschappijen, TTPs en straks zullen dat de identity management brokers zijn, waar veel persoonsgegevens zullen zijn opgeslagen met mogelijke ernstige privacy inbreuken als gevolg. Dit scenario lijkt voor de informatiehuishouding binnen de gezondheidszorg een reële mogelijkheid 9 Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing, V2.1, 2009 10 http://ec.europa.eu/digital-agenda/en/european-cloud-computing-strategy 11 Gilbert N., Dilemmas of privacy and Surveillance: Challenges of Technology change, (presentation and paper), London 2007,p. 14-18

15 5.8 Knelpunt: Zorg overdracht naar gemeenten De overdracht van de zorg naar de gemeenten geeft op korte termijn al aanleiding tot bezorgdheid, omdat het beveiligings- en privacy bewustzijn niet naar de stand van de techniek is ontwikkeld. Het is niet duidelijk of de Gemeenten wel een rol kunnen gaan spelen in de patientcentered care. Nu al kunnen vele gemeenten de WMO verplichtingen met moeite aan. Het proces van de verwerking van medische data dient van het begin af aan zeer zorgvuldig te worden opgezet waarbij expliciet risicomanagement en Privacy-by-Design wordt voorgeschreven voor alle systemen binnen de Gemeenten die gezondheidsdata verwerken, 12 op straffe van ernstige datalekken en privacy inbreuken. De overdracht van de jeugdzorg naar de Gemeenten geeft een indicatief beeld van wat er te verwachten valt. 13 De financiële positie van veel Gemeenten is tevens een bron van zorg. 14 5.9 Knelpunten in concept advies De in de oplossingsrichtingen voorgestelde aanpak, in combinatie met de bestaande informatiesystemen in de gezondheidszorg betekent niet alleen dat er meer medische gegevens in nieuwe contexten of door aggregatie zullen worden verwerkt, maar dat er ook patiëntgegevens beschikbaar komen voor een veel grotere groep afnemers, zoals verzekeraars, onderzoekers, wetshandhavers, nieuwe gezondheidszorg dienstverleners, etc. Het concept advies introduceert daarmee een nieuw risicoscenario met mogelijk het (niet- beoogd) lekken van medische informatie van en over individuen, indien niet gebruik wordt gemaakt van PbD. De privacy gerelateerde knelpunten kunnen optreden daar waar medische gegevens worden gegenereerd, verzameld, verwerkt, verspreid en opgeslagen in de elektronische identiteitsinfrastructuur en de elektronische informatie-infrastructuur met de PGD, verwijsindexen voor het uitwisselen van gegevens, chipkaarten en sensoren. Extra aandacht zal vergen het meervoudig (her)gebruik van medische gegevens door vele afnemers. Dit knelpunt kan alleen met Privacy-by Design architectuur adequaat worden opgelost. De mogelijkheden tot hacking binnen de op micro, meso en macro niveau geïntegreerde informatiehuishouding, de uitkomstindicatoren (mogelijk een waarschijnlijkheidsinstrument dat de status van onbetwistbaar feit kan krijgen) (zowel voor de patiënt, de zorgverlener, de commerciële en financiële sector) en big data zijn belangrijk aandachtspunten voor knelpunten en bedreigingen. De hoeksteen voor het delen van data en hergebruiken is vertrouwen en dat vertrouwen kan alleen tot stand komen als een onafhankelijke certificatie van systemen aantoont dat de privacy van de patiënt en zorgverleners adequaat is beschermd. Zo n certificaat voor de gezondheidszorg zou moeten worden voorgeschreven om vertrouwen te krijgen en te houden. 12 Art.1.b Wbp: Verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; 13 Cfr: Bakker J., Golbach l., Nuijen T. Schouten H.,,Over risico s gesproken, Een onderzoek naar risicomanagement van de decentralisatie van de jeugdzorg bij gemeenten, Amsterdam/Den Haag, 2013 14, Giebels R. & G. Herderschee, Rijk treft zwakste gemeenten, overheveling van taken gaat vooral pijn doen waar de vraag naar zorg het grootst is, p.1, p.10-11 in De Volkskrant, 28 maart 2014

16 Knelpunt op middellange termijn is tevens de ontwikkeling dat concurrentie tussen zorg aanbiedende instellingen op nationaal en internationaal gebied, de adviesbureaus voor patiënten die niet met hun PGD om kunnen gaan, grensoverschrijdende gegevensstromen (uitwisseling en hergebruik van medische data) tussen EU lidstaten (complicerende factoren: de diversiteit van culturen, talen, beleid, regel- en wetgeving en operationele regelingen) 15 en de verschuiving van artsen in ziekenhuizen naar verplegend en zorg verlenend personeel thuis. Het verplegend en verzorgend personeel zal net zoals bij artsen in een register ingeschreven moeten worden om fraude te voorkomen. De gekozen technologieën kunnen tot meer specifieke knelpunten en bedreigingen leiden 16. Dit zal nader onderzocht moeten worden. 5.10 Wettelijke knelpunten: EVRM, General Data Protection Regulation, Wbp, WGMO Om te beoordelen of de oplossingsrichtingen knelpunten en problemen op middellange termijn gaan opleveren op het gebied van de privacy, dienen de voorstellen in het concept-advies getoetst te worden aan artikel 8 EVRM, de Wet bescherming persoonsgegevens (Wbp) en de andere relevante medische wetgeving, die de privacy van de patiënt, het medisch beroepsgeheim (o.a. Wet op de geneeskundige behandelingsovereenkomst (WGBO)) en de zorgverlener betreffen. 17 Daarnaast gelden specifieke ISO/CEN/NEN standaarden, die een rol in normatief opzicht spelen, zoals NEN 7510(2011), 7512(2014), 7513(2010), (o.a. toegang tot patiëntgegevens, de grondslagen voor uitwisseling), NEN 8028(2011) over telemedicine, en specifieke standaarden in de gezondheidszorg (bijvoorbeeld: HL7/CDA, ICD-9/10, CPT), die betrekking hebben op de structuur / het formaat van teksten, geluid, foto s, multimedia inhoud, medische codering die een rol spelen in normatief opzicht. Deze standaarden zijn niet in deze studie onderzocht. Aiguier van EUROCONTROL (European Organisation for the Safety of Air Navigation) deelde dat wijdverbreide standaardisatie als keerzijde heeft dat systemen makkelijker te hacken zijn. 18 De General Data Protection Regulation (GDPR) kan op termijn knelpunten veroorzaken door de verzwaarde eisen onder meer op het gebied van privacy impact assessment, privacy by-design en privacy-by-default, data portabiliteit, en het recht om te vergeten. Tevens is in artikel 79 een zware boete van maximaal 5% van de wereldomzet (amendement LIBE) in het vooruitzicht gesteld als niet voldaan wordt aan de privacy-by-design vereisten. Het Europese Parlement aanvaarde op 12 maart 2014 de GDPR met de hoge boeten. Invoering van de GDPR wordt voor 2015 voorzien en is afhankelijk van de uitslag van de Europese verkiezingen in mei 2014 en de opstelling van de Europese raad. 15 Geissbuhler A et al., Trustworthy reuse of health data: A transnational perspective in international journal of medical informatics 82 (2013) 1 9 16 Househ M., Sharing sensitive personal health information through Facebook, the unintended consequences, in User Centred Networked Health Care A. Moen et al. (Eds.) IOS Press, 2011, p.616-620 17 Hooghiemstra T.F.M. & Nouwt S, Wet bescherming persoonsgegevens,den Haag 2011; Article 29 Data Protection Working Party WP 131, Working Document on the processing of personal data relating to health in electronic health records (EHR) (2007); Working Document 01/2012 on epsos ((European Patients Smart Open Services), 00145/12/EN WP 189, Adopted on 25 January 2012 18 EU Cybersecurity Strategy in Brussel op 28 februari 2014

17 Zolang de vertrouwelijkheid, privacy en veiligheid state of the art worden toegepast, zijn er geen grote ethische of juridische problemen te verwachten. Het gebruik van sterke cryptografie is een sine qua non. 5.11 Big Data Het gebruik van big data staat nog in de kinderschoenen. Er lijkt sprake te zijn van overspannen verwachtingen. Lanier stelt dat tot nu toe gebleken is dat big data schemes eventually fail, for the simple reason that statistics in isolation only ever represent a fragmentary mirror of reality with no supporting scientific theory. 19 Er is weinig bekend over de risico s voor en de attitude van individuen in het algemeen en patiënten en zorgverleners in het bijzonder wanneer zij met de gevolgen van (datamining van) big data (profilering) worden geconfronteerd. Big data lijkt het beste nog te vergelijken met data warehousing en data mining, maar dan op grotere schaal. Juridisch gezien is het probleem dat bij de analyse van big data vaak secundair gebruik van data voorkomt, die bij de eerste verzameling niet voorzien was. Hoe kun je daar juridisch mee omgaan? Welke mededeling moeten organisaties afgeven voor een doel dat nog onbekend is? Hoe kunnen mensen uitdrukkelijke toestemming voor datagebruik geven dat op het moment van toestemming onbekend is? Bij gevoelige gegevens zoals medische data klemt dat nog te meer. Het inzagerecht in de gegevens voor het datasubject blijkt bij dit soort operaties illusoir te worden. In ieder geval gelden voor big data de regels betreffende de rechtmatige grondslag, zoals toestemming, de uitvoering van een overeenkomst of gerechtvaardigd belang van de verantwoordelijke. Bij bestandsverrijking dient de verantwoordelijke de betrokkenen in te lichten, uiterlijk wanneer dat het geval zal zijn. In het voorstel van de General Data Protection Regulation is tijdens de behandeling in het LIBE committee in het Europese parlement een artikel 3a aangenomen dat het individu het recht op verzet tegen profiling geeft. Er zal wettelijk nog het een en ander moeten gebeuren om zonder problemen over te gaan tot big data analyses. Er is nochtans een spraakmakend big data project onder auspiciën van de CNIL (de Franse privacy toezichthouder) uitgevoerd, waaruit afgeleid kan worden welke juridische voorwaarden gelden. Het gebruik van privacy-by-design blijkt daarbij cruciaal te zijn. Het gaat om het big data project D4D (data for development) van de telecomaanbieder Orange in Ivoorkust in juni 2012, waarvan de resultaten in mei 2013 zijn bekend gemaakt. Om toestemming van CNIL voor dit project te krijgen, zijn rigoureus alle mogelijke direct of indirect identificerende gegevens geanonimiseerd. Er gold een strikte ethische code zowel bij Orange als bij de researchers en er was een strikte kwaliteitscontrole tijdens de verzameling van data om o.a. datalekken te voorkomen. Na de de-anonimisering en analyse werden de big data sets per interval van maximaal 15 minuten verwijderd onder toezicht van de CNIL. Het big data project betrof de analyse van het aantal telefoongesprekken per cel (telecom zend/ontvangst antenne), per uur binnen Ivoorkust en dat over een periode van december 2012 tot en met april 2013. De analyse werd door derden gedaan die geen binding met Orange hadden. Een van de uitkomsten van het onderzoek was dat het anonimiseren van big data zeer moeilijk is omdat er grote kans bestaat dat uit de geanonimiseerde data bij matching met andere grote data bestanden toch identificerende informatie kan vrijkomen. Daarom dient bij het opzetten van big data projecten zeer nauwkeurig de geanonimiserde data sets te worden onderzocht op mogelijke indirect identificerende gegevens. Bijvoorbeeld als een 19 Lanier J., How Should We Think about Privacy, in Scientific American, November 2013, p.54-55

18 telefoonsignaal van een mobiele telefoon in plaats A wordt geregistreerd en het zelfde signaal wordt een uur later honderden kilometers verder weer wordt geregistreerd, dan kan dat op iemand duiden die het vliegtuig genomen heeft. De analyse van dit gegeven is dan snel gemaakt door de passagierslijsten te analyseren. Bij het bestuderen van anonimiserings- en deanonimiseringstechnieken is wetenschappelijk aangetoond waarom de anonimisering van multidimensionale databases (big data) moeilijk is en welke soort technieken niet moeten worden gebruikt. De gebruikte anonimiseringstrategie in het D4D project is zwak gebleken en maakt het een aanvaller niet al te moeilijk om data te her-identificeren en te koppelen. 20 Bij gebrek aan een robuuste anonimiserings- en de-anominisering methode treedt in 20% van de gevallen ernstige reputatieschade op en is het vertrouwen van de betrokkenen verdwenen. 21 Overleg met de toezichthouders om de voorwaarden voor big data analyse vast te leggen is een vereiste en wordt een knelpunt als dit niet is geschied. 5.12 Cloud computing Cloud computing bestaat uit een aantal technologieën en service modellen die zich richten op het gebruik van het Internet en de levering van IT-toepassingen, verwerkingscapaciteit, opslag en geheugen. Cloud Computing komt voor in vele vormen. Het Amerikaanse National Institute of Standards and Technology (NIST) omschrijft de Cloud als: A model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. 22 In de omschrijving van het begrip cloud door het NIST ontbreekt het element: virtualisatie. Virtualisatie vormt de basis van Cloud architectuur. 23 Het idee achter virtualisatie is dat de Cloud Service Provider al zijn hardware (servers, netwerk en software) als één geheel beschouwd en hierop verschillende programma s heeft draaien. Als er meer vraag ontstaat, kan er een nieuw virtueel systeem gemaakt worden en hoeft er geen nieuwe hardware te worden geïnstalleerd. Efficiënte data-opslagtechnieken worden in Clouds toegepast, b.v. door in plaats van hetzelfde bestand twee keer op te slaan, het bestand maar één keer op te slaan. Daarbij wordt gebruik gemaakt van single instance storage en data deduplicatie. Risico s die zich voordoen zijn gebrek aan controle en gebrek aan informatie over de verwerking (transparantie). Als cloud computing een optie is, dan dient er eerst een privacy risicoanalyse (PIA) te worden uitgevoerd. Vastgesteld moet worden of de beveiliging, transparantie en rechtszekerheid voor de gebruikers goed geborgd zijn en welk rechtstelsel geldt. Een Cloud provider moet de naleving van de EU-wetgeving inzake gegevensbescherming 20 Sharad K. & G. Danezis, De-anonymizing D4D Datasets, http://petsymposium.org/2013/papers/sharaddeanonymization.pdf 21 Financieel Dagblad Outlook LIVE 4 februari 2014 22 Mell P. & T. Grance, The NIST Defintion of Cloud Computing, September 2011, csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf, 23 Nägele T. & S. Jacobs, Rechtsfragen des Cloud Computing, Zeitschrift für Urheber- und Medienrecht vol. 54, 2010, nr. 4, p. 281 292.

19 garanderen. Dit houdt in dat de overeenkomsten met Cloud-providers nauwkeurig bestudeerd moeten worden op voldoende contractuele garanties op het gebied van technische en organisatorische maatregelen met betrekking tot de bescherming van persoonsgegevens. Ook is van belang is dat de cliënt van de Cloud provider verifieert of de Cloud provider de rechtmatigheid van een grensoverschrijdende internationale doorgifte van gegevens kan garanderen. Knelpunt is dat op het ogenblik er geen Europese Cloud providers zijn die grote hoeveelheden gegevens kunnen verwerken. Amerikaanse Cloud providers worden afgeraden omdat de Amerikaanse overheid (NSA) op grond van de Patriot Act toegang tot alle medische/persoonsgegevens hebben en kunnen krijgen en individuen moeilijk hun recht kunnen halen. 5.13 Antwoord op de eerste onderzoeksvraag Bij de bestudering van de Concept-Advies zijn een aantal knelpunten op middellange termijn voorzien, met name op het gebied van de decentralisatie en big data: 1.Verwacht wordt dat de patiënt toegang en beheer van zijn persoonlijk gezondheidsdossier (PGD) krijgt op basis van vrijwilligheid en met de keuze uit meerdere PGD s In de praktijk zullen niet alle patiënten / cliënten gebruik kunnen en willen maken van PGD s in aanvulling op overige (bron)systemen in de informatiehuishouding van de gezondheidszorg op micro- meso en macroniveau van zorgaanbieders, zorgverzekeraars, gemeenten en instituten voor beleids- en wetenschappelijk onderzoek. Onder andere door de vergrijzing zullen grotere aantallen gemiddelde (laag opgeleide en bejaarde) patiënten hun PGD niet (meer) willen en/of kunnen controleren en/of beheren. Commerciële (adviserende) diensten zullen het beheer van hen overnemen. Zij zullen de verkregen informatie naast het PGD zelf opslaan en voor data analyses gaan gebruiken. Dit kan tot manipulatie van de patiënt leiden. De visie over de participerende patiënt in het RVZ advies (2013) is te rooskleurig. 2.Bij zorgverleners kan, wanneer patiënten per onderwerp en gegeven mogen bepalen wie in het PGD dossier daar toegang toe krijgt en welke gegevens niet gedeeld mogen worden, twijfel ontstaan over de juistheid en volledigheid van het dossier. Om het risico op medische fouten te verkleinen zullen tests en anamnese worden herhaald, wat de efficiëntie van het PGD zal ondermijnen. Logging van wijzigingen in het PGD is gewenst. In het advies van de RVZ wordt gesteld dat niet iedereen zal willen en kunnen participeren, maar dat degene die dat wel wil en kan geholpen moet worden bij de keuze informatie door zijn zorgverlener via shared decision making 24 3. Gezien het grote macro-economisch belang van de gezondheidszorg wordt voorzien dat geautomatiseerde aanvallen op de gezondheidsinformatiehuishouding zullen toenemen. Dergelijke aanvallen kunnen door personen met weinig expertise worden uitgevoerd. 4. De ontwikkelingen binnen de gezondheidszorg zullen leiden tot het gebruik van een verscheidenheid aan ICT-technologieën. Bij data volgende-, gegevens koppelende- en informatie ontdekkende en extraherende technologieën spelen persoonsidentiteiten een sleutelrol. Hierbij kunnen er omvangrijke data lekken en privacy inbreuken optreden en kunnen identiteiten van patiënten en hun gegevens op vele (onbekende) plaatsen door commerciële partijen worden opgeslagen met ongewenst gebruik als gevolg. Het gebruik van pseudo-identeiten is noodzakelijk. 24 De participerende patient, Den Haag 2013, p.7,12 thttp://www.rvz.net/publicaties/bekijk/departiciperende-patient

20 5. Bij het meervoudig en secundair (her)gebruik van medische gegevens door vele afnemers en het gebruik van big data zullen aan anonimisering en de-anonimisering zeer hoge eisen moeten worden gesteld, wil identificatie worden voorkomen. Cloud computing vormt een extra risico door de potentiele toegang van de Amerikaanse overheid tot opgeslagen gegevens en het gebruik van opslagtechnieken die ongewild hergebruik van gegevens tot gevolg zou kunnen hebben. 6. De wettelijke vereisten ter bescherming van persoonsgegevens en de boetes bij overtreden zullen aanzienlijk worden verzwaard.